Μία κοινή έκθεση που δημοσιεύθηκε από τη Rostelecom-Solar και το Εθνικό Κέντρο Συντονισμού για Συμβάντα Υπολογιστών (NKTsKI) της FSB, αποκάλυψε ότι ξένοι χάκερς έχουν κλέψει πληροφορίες από ομοσπονδιακές υπηρεσίες της Ρωσίας. Οι επιθέσεις ανακαλύφθηκαν το 2020 – οι χάκερς διεξήγαν spear-phishing επιθέσεις, εκμεταλλεύτηκαν ευπάθειες σε web εφαρμογές και χάκαραν την υποδομή εργολάβων για να εισβάλουν στην υποδομή ρωσικών ομοσπονδιακών εκτελεστικών αρχών.
Οι ειδικοί πιστεύουν ότι οι χάκερς που βρίσκονται πίσω από τις εισβολές έχουν προσληφθεί από ξένο κράτος. «Το επίπεδο των επιτιθέμενων (οι τεχνολογίες και οι μηχανισμοί που χρησιμοποιήθηκαν, η ταχύτητα και η ποιότητα της δουλειάς που έχουν κάνει) καθιστά δυνατή την αναγνώρισή τους ως χάκερς που εξυπηρετούν τα συμφέροντα ενός ξένου κράτους. Τέτοιοι επιτιθέμενοι θα μπορούσαν να παραμείνουν μέσα στην υποδομή για μεγάλο χρονικό διάστημα. Ο κύριος στόχος των χάκερς ήταν να υπονομεύσουν πλήρως την υποδομή IT και να κλέψουν εμπιστευτικές πληροφορίες, συμπεριλαμβανομένων εγγράφων από κλειστά τμήματα και mail βασικών ομοσπονδιακών εκτελεστικών αρχών».
Μόλις παραβίασαν τα δίκτυα των στοχοποιημένων οργανισμών, οι χάκερς συγκέντρωσαν ευαίσθητες πληροφορίες από εσωτερικά συστήματα. Οι εισβολείς απέκτησαν πρόσβαση σε mail servers, servers διαχείρισης ηλεκτρονικών εγγράφων, servers αρχείων και workstations διαφόρων επιπέδων, για να κλέψουν τις πληροφορίες που τους ενδιέφεραν. Οι επιτιθέμενοι χρησιμοποίησαν δύο στελέχη malware που δεν έχουν ανιχνευθεί στο παρελθόν – τα οποία ονομάστηκαν “Mail-O” και “Webdav-O”. «Το Mail-O είναι ένα πρόγραμμα λήψης που έχει πρόσβαση στο Mail.ru Cloud το οποίο σχετίζεται με λογαριασμό που έχει “συρραφτεί” στο δείγμα. Όλες οι επικοινωνίες πραγματοποιούνται με τη χρήση του Cloud API Mail.ru. Το Webdav-O είναι ένα άλλο malware που δεν έχει περιγραφεί ποτέ πριν. Όπως το Mail-O, και αυτό αλληλεπιδρά με τον server διαχείρισης μέσω του Yandex.Disk cloud. Το malware υποστηρίζει δύο μεθόδους ελέγχου ταυτότητας: βασική (με login και password) και oauth (με χρήση token)».
Επιπλέον, οι χάκερς στόχευσαν συγκεκριμένα συστήματα σε ομοσπονδιακές υπηρεσίες και έχουν σχεδιάσει τα malware τους για να παρακάμψουν το πιο δημοφιλές ρωσικό antivirus της Kaspersky που συνήθως εγκαθίσταται από ομοσπονδιακές υπηρεσίες.«Τα malware που ανέπτυξαν οι χάκερς χρησιμοποίησαν τις αποθήκες cloud των ρωσικών εταιρειών Yandex και Mail.ru Group για να κατεβάσουν τα συλλεχθέντα δεδομένα. Οι χάκερς παρουσίασαν τη network δραστηριότητά τους με τέτοιον τρόπο ώστε να μοιάζει με τα νόμιμα βοηθητικά προγράμματα Yandex Disk και Disk-O. Τέτοια malware δεν έχουν συναντηθεί ποτέ πουθενά».
Η FSB καταλήγει στο συμπέρασμα ότι πρόκειται για πρωτοφανείς επιθέσεις, λαμβάνοντας υπόψη τους εξής παράγοντες:
Η FSB δεν έχει αποδώσει μέχρι στιγμής την επίθεση σε καμία συγκεκριμένη ξένη χώρα.
https://www.secnews.gr/351760/fsb-hackers-paraviasan-omospondiakes-ypiresies-tis-rosias/
Οι ειδικοί πιστεύουν ότι οι χάκερς που βρίσκονται πίσω από τις εισβολές έχουν προσληφθεί από ξένο κράτος. «Το επίπεδο των επιτιθέμενων (οι τεχνολογίες και οι μηχανισμοί που χρησιμοποιήθηκαν, η ταχύτητα και η ποιότητα της δουλειάς που έχουν κάνει) καθιστά δυνατή την αναγνώρισή τους ως χάκερς που εξυπηρετούν τα συμφέροντα ενός ξένου κράτους. Τέτοιοι επιτιθέμενοι θα μπορούσαν να παραμείνουν μέσα στην υποδομή για μεγάλο χρονικό διάστημα. Ο κύριος στόχος των χάκερς ήταν να υπονομεύσουν πλήρως την υποδομή IT και να κλέψουν εμπιστευτικές πληροφορίες, συμπεριλαμβανομένων εγγράφων από κλειστά τμήματα και mail βασικών ομοσπονδιακών εκτελεστικών αρχών».
Μόλις παραβίασαν τα δίκτυα των στοχοποιημένων οργανισμών, οι χάκερς συγκέντρωσαν ευαίσθητες πληροφορίες από εσωτερικά συστήματα. Οι εισβολείς απέκτησαν πρόσβαση σε mail servers, servers διαχείρισης ηλεκτρονικών εγγράφων, servers αρχείων και workstations διαφόρων επιπέδων, για να κλέψουν τις πληροφορίες που τους ενδιέφεραν. Οι επιτιθέμενοι χρησιμοποίησαν δύο στελέχη malware που δεν έχουν ανιχνευθεί στο παρελθόν – τα οποία ονομάστηκαν “Mail-O” και “Webdav-O”. «Το Mail-O είναι ένα πρόγραμμα λήψης που έχει πρόσβαση στο Mail.ru Cloud το οποίο σχετίζεται με λογαριασμό που έχει “συρραφτεί” στο δείγμα. Όλες οι επικοινωνίες πραγματοποιούνται με τη χρήση του Cloud API Mail.ru. Το Webdav-O είναι ένα άλλο malware που δεν έχει περιγραφεί ποτέ πριν. Όπως το Mail-O, και αυτό αλληλεπιδρά με τον server διαχείρισης μέσω του Yandex.Disk cloud. Το malware υποστηρίζει δύο μεθόδους ελέγχου ταυτότητας: βασική (με login και password) και oauth (με χρήση token)».
Επιπλέον, οι χάκερς στόχευσαν συγκεκριμένα συστήματα σε ομοσπονδιακές υπηρεσίες και έχουν σχεδιάσει τα malware τους για να παρακάμψουν το πιο δημοφιλές ρωσικό antivirus της Kaspersky που συνήθως εγκαθίσταται από ομοσπονδιακές υπηρεσίες.«Τα malware που ανέπτυξαν οι χάκερς χρησιμοποίησαν τις αποθήκες cloud των ρωσικών εταιρειών Yandex και Mail.ru Group για να κατεβάσουν τα συλλεχθέντα δεδομένα. Οι χάκερς παρουσίασαν τη network δραστηριότητά τους με τέτοιον τρόπο ώστε να μοιάζει με τα νόμιμα βοηθητικά προγράμματα Yandex Disk και Disk-O. Τέτοια malware δεν έχουν συναντηθεί ποτέ πουθενά».
Η FSB καταλήγει στο συμπέρασμα ότι πρόκειται για πρωτοφανείς επιθέσεις, λαμβάνοντας υπόψη τους εξής παράγοντες:
- Επίπεδο απειλής, οι επιθέσεις έπληξαν ομοσπονδιακές υπηρεσίες.
- 5ο επίπεδο απειλής σύμφωνα με το μοντέλο που χρησιμοποιεί η Solar JSOC.
- Πλήρης παραβίαση υποδομής και κλοπή εμπιστευτικών κυβερνητικών δεδομένων.
- Ανάπτυξη malware που δεν έχουν συναντηθεί στο παρελθόν.
- Χρήση πολλαπλών φορέων επίθεσης.
- Χρήση των παρόχων cloud “Yandex” και “Mail.ru Group” της Ρωσίας.
- Ποσοστό μηδενικής ανίχνευσης των εμπλεκόμενων artifacts.
Η FSB δεν έχει αποδώσει μέχρι στιγμής την επίθεση σε καμία συγκεκριμένη ξένη χώρα.
https://www.secnews.gr/351760/fsb-hackers-paraviasan-omospondiakes-ypiresies-tis-rosias/
No comments :
Post a Comment